منو سایت

مهاجمان وصله امنیتی مایکروسافت را دور زدند!

 تاریخ انتشار :
/
  اخبار استارتاپ
تصاویر پس زمینه از جولای 1401

مهاجمان وصله امنیتی مایکروسافت را دور زدند!

آسیب‌پذیری Microsoft MSHTML Remote Code Execution در سپتامبر امسال در سرفصل‌ها ظاهر شد. آسیب پذیری روز صفر با امتیاز CVSS: 8.8 و شماره مرجع CVE-2021-40444. مایکروسافت همچنین این Zero-Day را در به‌روزرسانی سپتامبر با یک تنظیم امنیتی تنظیم کرد. اما اکنون محققان Sophos می گویند حتی سیستم های وصله شده نیز آسیب پذیر هستند.

یک کمپین فیشینگ در این ماه راه اندازی شد که از این نقص فنی حتی در سیستم های وصله شده نیز بهره برداری کرد. در این کمپین اسناد آلوده از طریق ایمیل برای قربانیان ارسال می شود. به طور پیش فرض، هنگامی که اسناد مایکروسافت را از اینترنت دانلود می کنید، در حالت Protected View یا Application Guard For Office باز می شوند. در این صورت شما در خطر نیستید. اما به محض فعال شدن محتوای این اسناد، مهاجمان شروع به کار روی سیستم ما خواهند کرد. شما نمی توانید با فعال کردن محتوا از این حمله جلوگیری کنید، حتی اگر سیستم شما وصله شده باشد.

آسیب پذیری در اجرای کد در Microsoft MSHTML

از آسیب پذیری اجرای کد از راه دور در Microsoft MSHTML سوء استفاده کنید

خطای فنی MSHTML با رتبه CVSS: 8.8 به مهاجمان اجازه می دهد کد را از راه دور اجرا کنند. پچ امنیتی مایکروسافت نیز در جلوگیری از حملات اخیر چندان موثر نیست. ما به برخی از کمپین هایی که از سپتامبر 2021 از این نقص فنی بهره برده اند نگاه خواهیم کرد.

  • کمپینی که حملات فیشینگ هدفمند را راه اندازی می کند. این کمپین Cobalt Strike Beacons را از طریق آسیب‌پذیری‌های موجود در Microsoft MSHTML اجرا کرد.
  • در ماه نوامبر، SafeBreach گزارش داد که یک گروه ایرانی فارسی زبانان را هدف قرار داده است. آنها اطلاعات حساسی را در مورد قربانیان با استفاده از آسیب پذیری های MSHTML جمع آوری کردند.
  • Sophos در این ماه از یک کمپین فیشینگ جدید رونمایی کرد. این کمپین حتی موفق شد به سیستم‌هایی نفوذ کند که آسیب‌پذیری‌های وصله راه دور Microsoft MSHTML را نصب کرده‌اند. در این حملات، مهاجمان از یک اکسپلویت PoC Office استفاده کردند. به این ترتیب بدافزار Formbook را در سیستم قربانیان نصب می کنند. محققان امنیتی می گویند که تنظیمات امنیتی منتشر شده توسط این شرکت در ماه سپتامبر ضعیف است. آنها موفقیت مهاجمان را به ضعف تصحیح امنیتی نسبت می دهند.

نحوه بهره برداری از آسیب پذیری در اجرای کد از راه دور در Microsoft MSHTML

مرحله اول

قربانی ایمیلی حاوی یک فایل فشرده .RAR دریافت می کند. این فایل RAR حاوی اسکریپت مخرب در ابتدای فایل است.

مرحله دوم

هنگامی که قربانی فایل را باز می کند، یک صفحه وب پیوند داده می شود. این صفحه وب میزبان جاوا اسکریپت مخرب است.

سطح سوم

در این مرحله جاوا اسکریپت فایل ورد را مجبور می کند تا کد مهاجم را بارگذاری کند. این کدها در آرشیو RAR هستند. آرشیو پیوست شده به پیوست هرزنامه برای قربانی.

مرحله چهارم

اسکریپت که در بایگانی RAR بارگذاری شده است، باعث می شود تا بدافزار بارگیری شود و از طریق PowerShell اجرا شود. در نتیجه، سیستم قربانی به نرم افزارهای مخرب هدایت شده توسط مهاجم آلوده می شود.

آیا همیشه وصله سیستم ها کافی است؟

یکی از دلایلی که این کمپین فیشینگ بسیار مهم است این است که به ما نشان می دهد در برخی موارد نمی توانید فقط به نصب وصله های امنیتی اعتماد کنید. با پیشرفت ما، مهاجمان در اقدامات مخرب خود مهارت بیشتری پیدا می کنند. اندرو برند از Sophos Labs می گوید: «نصب وصله های امنیتی به تنهایی ممکن است در همه موارد کارساز نباشد. علاوه بر این، باید محدودیت هایی ایجاد شود. کاربران باید به آسیب‌پذیری‌های اجرای کد از راه دور در Microsoft MSHTML محدود شوند. این از کلیک تصادفی سایر کاربران روی “فعال کردن محتوا” جلوگیری می کند.

در مورد آسیب پذیری ها در Microsoft MSHTML چه باید کرد؟

همانطور که در قسمت قبل گفته شد، علاوه بر نصب اصلاحات امنیتی برای کاربران، محدودیت هایی نیز باید در نظر گرفته شود. آموزش های لازم را به آنها بدهید. برای ارائه این آموزش ها می توانید از خدمات اطلاع رسانی اختصاصی پویان آرمان داده استفاده کنید. در طول این خدمات، کاربران توسط کارشناسان مجرب به طور کامل در مورد نحوه شناسایی ایمیل های مشکوک آموزش خواهند دید. همچنین، چند بار کاربران برای حملات فیشینگ جعلی آزمایش خواهند شد؟ نتایج این آزمایشات که بدون اطلاع قبلی به کارکنان انجام می شود در قالب گزارش به روسای سازمان ارائه می شود.

تست نفوذ چقدر می تواند موثر باشد؟

اثربخشی آزمون نفوذ تا حد زیادی به مهارت های تیم سازمان دهنده بستگی دارد. چنین کمپین هایی گواه این است که استفاده از ابزارهای خودکار کارساز نخواهد بود. اما مهارت های تیم تست نفوذ و سطح خلاقیت آنها نیز بسیار موثر است. تسترهای نفوذ حرفه ای مانند مهاجمان حرفه ای در چنین کمپین هایی هستند. آنها توانایی تفکر خارج از چارچوب را دارند. توصیه می کنیم برای افزایش امنیت سازمان خود از خدمات تست نفوذ دوره ای از یک تیم حرفه ای استفاده کنید.

مهاجمان وصله امنیتی مایکروسافت را دور زدند! پویان برای اولین بار در آرمان داده ظاهر می شود.